Login
Newsletter
Werbung

Di, 25. Juni 2019, 13:24

Software::Security

NSA will Code zum Coreboot-Projekt beitragen

Die NSA beschäftigt laut einem Bericht Entwickler, die an Coreboot mitarbeiten. Ein erster Beitrag implementiert Intels SMI Transfer Monitor (STM) und ist derzeit im Review.

Coreboot

Coreboot, früher LinuxBIOS, ist ein Projekt, das das meist proprietäre BIOS eines Rechners durch ein freies ersetzt. Ursprünglich bootete Coreboot tatsächlich einen Linux-Kernel aus dem Flash heraus. Mittlerweile aber passt der Kernel nicht mehr in die Flash-Speicher auf manchen Mainboards, so dass der zum Booten benötigten Code und der Linux-Kernel jetzt getrennt sind.

Zweifellos ist es auch der National Security Agency (NSA) der USA ein Dorn im Auge, wenn ihre Systeme mit einem proprietären und letztlich nicht vertrauenswürdigen BIOS starten. So versucht die Behörde nun über Eugene Myers, Mitarbeiter in der Trusted Systems Research Group der NSA, Coreboot zu verbessern, höchstwahrscheinlich um Coreboot selbst einsetzen zu können. Die Aufgabe der Trusted Systems Research Group ist laut der NSA-Webseite die Erforschung von Technologien, die die amerikanischen Informationssysteme in der Zukunft sicherer machen.

Der erste jetzt beigetragene Code zu Coreboot befindet sich gerade im Review durch mehrere Coreboot-Entwickler und muss an einigen Stellen nochmals überarbeitet werden. Der Code implementiert den SMI Transfer Monitor (STM) auf der x86-Architektur. STM ist ein Hypervisor, der im System Management Mode gestartet wird. Der System Management Mode ist laut Intel strikt vom normalen Modus, in dem das Betriebssystem läuft, abgeschottet. STM hat Zugriff auf das BIOS, die Energieverwaltung, Sicherheitsfunktionen und, sofern vorhanden, das Trusted Platform Module (TPM). STM wurde von Intel 2015 spezifiziert.

Zur Frage der Vertrauenswürdigkeit von Code, der von der NSA kommt, genügt es eigentlich zu sagen, dass der Code unter Review und öffentlich einsehbar ist. Gleiches galt und gilt für anderen Code der NSA, insbesondere das SELinux-Sicherheitsmodul im Linux-Kernel und gerade erst in letzter Zeit für die Reverse-Engineering-Suite Ghidra. Letztere wird von den Coreboot-Entwicklern bereits erfolgreich eingesetzt, um Firmware zu analysieren. Beiträge der NSA werden zu Recht aufgrund vergangener Vorfälle misstrauisch beäugt, die allerdings von anderen Abteilungen ausgingen. So unterwanderte die NSA einen der verwendeten Algorithmen im NIST-Standard. Als die NSA im letzten Jahr versuchte, die Algorithmen Simon und Speck standardisieren zu lassen, wurde dies abgeschmettert, nachdem die NSA nicht erklären wollte, wie sie spezifische Parameter gewählt hatte, und daher der Verdacht nicht ausgeräumt wurde, dass diese Algorithmen Hintertüren für die NSA enthalten.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung